O Capítulo V da Lei nº 13.709/2018 (LGPD) estabelece um dos mecanismos mais importantes de controle sobre o fluxo transfronteiriço de informações pessoais. A transferência internacional de dados representa uma operação delicada, pois envolve o envio de dados pessoais de indivíduos brasileiros para jurisdições estrangeiras que podem ter níveis diversos de proteção à privacidade.

A Lei define transferência internacional de dados como “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro” (art. 5º, XV). Este movimento de dados além-fronteiras é, em regra, restrito, demandando o atendimento de hipóteses específicas para sua legitimidade.

A transferência internacional não se confunde com o mero acesso remoto a dados armazenados no Brasil. O que caracteriza a transferência é a mudança de jurisdição dos dados, ou seja, quando os dados saem efetivamente do território nacional para serem tratados em outro país.

As Nove Hipóteses Legais de Transferência Internacional

O artigo 33 da LGPD estabelece um rol taxativo de situações que autorizam a transferência internacional de dados pessoais. Este rol não pode ser ampliado por analogia, conferindo segurança jurídica aos titulares dos dados.

Transferência para Países com Nível Adequado de Proteção (Inciso I)

A primeira hipótese autoriza a transferência para países ou organismos internacionais que “proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei”. Este é o mecanismo mais seguro e descomplicado, pois dispensa garantias adicionais.

O parágrafo único do art. 33 estabelece que pessoas jurídicas de direito público, no âmbito de suas competências, e responsáveis podem requerer à ANPD a avaliação do nível de proteção conferido por determinado país ou organismo internacional.

Garantias Contratuais e Certificações (Inciso II)

O inciso II permite a transferência quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos previstos na LGPD. São quatro instrumentos aceitos:

a) Cláusulas contratuais específicas: São contratos elaborados especificamente para uma determinada transferência, adaptados às peculiaridades da operação. Devem ser submetidas à verificação da ANPD.

b) Cláusulas-padrão contratuais: São modelos contratuais pré-aprovados que podem ser utilizados de forma padronizada para múltiplas transferências. A ANPD é responsável por definir o conteúdo dessas cláusulas (art. 35).

c) Normas corporativas globais (Binding Corporate Rules – BCR): Aplicáveis a grupos econômicos multinacionais, estabelecem políticas internas de proteção de dados que vinculam todas as empresas do grupo, permitindo o livre fluxo de dados entre elas.

d) Selos, certificados e códigos de conduta: Mecanismos de certificação que atestam a conformidade com padrões de proteção de dados. Podem ser emitidos por organismos de certificação designados pela ANPD (art. 35, §3º).

Todas essas garantias estão sujeitas à análise e aprovação da ANPD, que pode solicitar informações suplementares ou realizar diligências (art. 35, §2º). A autoridade nacional também pode revisar ou anular atos de organismos de certificação (art. 35, §4º).

Cooperação Jurídica Internacional (Inciso III)

Permite a transferência necessária à cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, desde que realizada de acordo com instrumentos de direito internacional.

Esta hipótese reconhece a necessidade de colaboração entre Estados no combate à criminalidade transnacional, ao terrorismo e outras ameaças globais. Exemplos incluem acordos de assistência jurídica mútua (Mutual Legal Assistance Treaties – MLATs) e tratados de cooperação policial.

Esta exceção não autoriza transferências arbitrárias. Deve haver um instrumento formal de cooperação internacional que respalde a operação.

Proteção da Vida ou Incolumidade Física (Inciso IV)

Hipótese de necessidade vital que dispensa outras formalidades quando a transferência for essencial para proteger a vida ou a integridade física do titular dos dados ou de terceiros.

Exemplos práticos incluem: transferência de prontuários médicos em situações de emergência para tratamento no exterior, compartilhamento de informações em operações de busca e salvamento internacionais, ou troca de dados em contextos de catástrofes humanitárias.

A urgência e a proporcionalidade são elementos essenciais desta hipótese. A transferência deve ser estritamente necessária e limitada aos dados indispensáveis.

Autorização da ANPD (Inciso V)

Constitui uma cláusula residual que confere à ANPD o poder discricionário de autorizar transferências que não se enquadrem nas demais hipóteses. Esta autorização deve ser casuística e fundamentada.

A autoridade nacional avaliará, conforme o art. 34, diversos fatores: normas do país de destino, natureza dos dados, observância dos princípios da LGPD, medidas de segurança, garantias judiciais e institucionais, além de outras circunstâncias específicas.

Acordo de Cooperação Internacional (Inciso VI)

Autoriza transferências decorrentes de compromissos assumidos em acordos de cooperação internacional firmados pelo Brasil. Diferencia-se do inciso III por não se limitar à cooperação jurídica, abrangendo acordos comerciais, científicos, tecnológicos, entre outros.

Execução de Política Pública (Inciso VII)

Permite a transferência necessária para executar política pública ou atribuição legal do serviço público, exigindo publicidade nos termos do inciso I do art. 23 da LGPD.

Esta hipótese reconhece que o Poder Público, no exercício de suas competências constitucionais e legais, pode necessitar realizar transferências internacionais. A exigência de publicidade garante transparência e controle social.

A transferência deve estar diretamente vinculada a uma política pública específica ou atribuição legal expressa, não sendo uma autorização genérica para o Poder Público transferir dados.

Consentimento Específico do Titular (Inciso VIII)

O titular pode autorizar expressamente a transferência internacional, desde que o consentimento seja específico, destacado e precedido de informação prévia sobre o caráter internacional da operação.

O consentimento deve distinguir claramente a transferência internacional de outras finalidades. Não é válida a autorização genérica inserida em termos de uso extensos. O titular deve compreender que seus dados sairão do país e para qual destino.

Remissão às Hipóteses do Art. 7º (Inciso IX)

O último inciso permite a transferência quando necessária para atender às hipóteses dos incisos II, V e VI do art. 7º da LGPD. Vejamos estas bases legais:

Art. 7º, II: Cumprimento de obrigação legal ou regulatória pelo controlador. Exemplo: cumprimento de legislação tributária estrangeira que exige envio de dados para autoridades fiscais.

Art. 7º, V: Execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Exemplo: contratação de serviço de empresa estrangeira que necessita dos dados para executar o contrato.

Art. 7º, VI: Exercício regular de direitos em processo judicial, administrativo ou arbitral. Exemplo: envio de documentos contendo dados pessoais para tribunal arbitral internacional.

Avaliação do Nível de Proteção pelo País de Destino

O artigo 34 estabelece os critérios que a ANPD deve considerar ao avaliar se um país estrangeiro ou organismo internacional proporciona nível adequado de proteção:

I – Normas gerais e setoriais: Análise da legislação de proteção de dados do país de destino, verificando se possui lei geral de proteção de dados e regulamentações setoriais específicas.

II – Natureza dos dados: Avaliação da sensibilidade dos dados que serão transferidos. Dados sensíveis (art. 5º, II da LGPD) demandam maior rigor na análise.

III – Observância dos princípios e direitos: Verificação se o país de destino reconhece princípios semelhantes aos da LGPD (finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e accountability) e garante direitos aos titulares.

IV – Medidas de segurança: Análise das medidas técnicas e administrativas de proteção exigidas pela legislação do país de destino.

V – Garantias judiciais e institucionais: Verificação da existência de órgãos de supervisão e da possibilidade de o titular acessar mecanismos de tutela judicial para proteção de seus direitos.

VI – Outras circunstâncias específicas: Cláusula aberta que permite considerar particularidades da transferência específica.

Mecanismos de Controle e Fiscalização

O artigo 35 atribui à ANPD competências centrais no controle das transferências internacionais:

Definição de cláusulas-padrão: A autoridade nacional estabelecerá modelos contratuais que garantam proteção adequada, facilitando a operacionalização de transferências conformes.

Verificação de garantias: A ANPD analisará cláusulas específicas, normas corporativas globais e certificações apresentadas pelos controladores.

Requisitos mínimos: Na análise, a ANPD considerará requisitos, condições e garantias que observem direitos, garantias e princípios da LGPD (§1º).

Diligências de verificação: Pode solicitar informações suplementares ou realizar diligências sobre as operações de tratamento (§2º).

Designação de organismos de certificação: A ANPD pode delegar a organismos especializados a certificação de garantias, mantendo poder de fiscalização e revisão (§§3º e 4º).

Análise de medidas técnicas e organizacionais: Conforme o §5º, as garantias também serão avaliadas segundo medidas técnicas e organizacionais do operador, nos termos dos §§1º e 2º do art. 46 da LGPD.

O §5º faz referência ao art. 46 da LGPD, que estabelece obrigações dos operadores quanto à segurança da informação e adoção de medidas preventivas de segurança dos dados.

Dever de Comunicação de Alterações

O artigo 36 estabelece obrigação fundamental: qualquer alteração nas garantias apresentadas como suficientes para a transferência deve ser comunicada à ANPD.

Este dispositivo visa garantir a supervisão contínua das transferências internacionais. Mudanças contratuais, alterações nas políticas corporativas, modificações nas certificações ou qualquer outro ajuste que impacte as garantias inicialmente oferecidas devem ser reportadas.

 A não comunicação pode caracterizar violação à LGPD, sujeitando o controlador às sanções do art. 52, que incluem advertência, multa simples ou diária, publicização da infração, bloqueio ou eliminação dos dados, entre outras.

Relevância Prática e Cenário Atual

No contexto da economia digital globalizada, a transferência internacional de dados tornou-se prática cotidiana. Serviços de computação em nuvem, plataformas digitais multinacionais, comércio eletrônico transfronteiriço e até mesmo simples envios de e-mails podem envolver transferências internacionais.

Brasil e adequação internacional: Diversos especialistas e autoridades têm trabalhado para que o Brasil seja reconhecido pela União Europeia como país com nível adequado de proteção. Tal reconhecimento facilitaria enormemente as transações comerciais e a cooperação internacional, dispensando a necessidade de garantias adicionais em transferências entre Brasil e países europeus.

Direito Comparado e Convergência Internacional

A LGPD brasileira foi fortemente inspirada no Regulamento Geral de Proteção de Dados europeu (GDPR), especialmente no que tange às transferências internacionais. O GDPR estabelece sistema semelhante de decisões de adequação, cláusulas contratuais padrão (Standard Contractual Clauses – SCCs) e normas corporativas vinculativas (Binding Corporate Rules – BCRs).

Países com legislação reconhecida pela UE: A Comissão Europeia reconheceu como adequados: Andorra, Argentina, Canadá (apenas setor comercial), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Coreia do Sul, Suíça, Reino Unido, Uruguai e Japão 

Trecho relevante de doutrina especializada: Segundo o Guia de Proteção de Dados Pessoais da FGV, “deve ser consultado se a ANPD já emitiu lista de países considerados com nível adequado de proteção de dados pessoais com aquele estabelecido pela LGPD (art. 33, I da LGPD)” 

Recomendações Práticas para Concursos Públicos

Para candidatos que estudam para concursos públicos, recomenda-se atenção especial aos seguintes pontos:

1. Memorização das nove hipóteses do art. 33: É frequente a cobrança literal destes incisos.
2. Distinção entre as garantias do inciso II: Saber diferenciar cláusulas contratuais específicas, cláusulas-padrão, BCRs e certificações.
3. Critérios de avaliação do art. 34: Os seis fatores que a ANPD deve considerar ao avaliar adequação de países.
4. Competências da ANPD: Compreender os poderes da autoridade nacional sobre transferências internacionais.
5. Relação com o art. 7º: Entender as bases legais dos incisos II, V e VI do art. 7º, citadas no inciso IX do art. 33.
6. Consentimento qualificado: O consentimento para transferência internacional deve ser específico, destacado e informado sobre o caráter internacional.
7. Natureza taxativa do rol: As hipóteses do art. 33 são numerus clausus, não admitindo ampliação analógica.

A LGPD representa mudança paradigmática no tratamento de dados pessoais no Brasil, e as regras sobre transferência internacional são fundamentais para garantir que a proteção conferida pela lei não seja contornada mediante envio de dados para jurisdições com menor proteção. O domínio deste capítulo é essencial tanto para provas de concursos quanto para a prática profissional em Direito Digital, Compliance e Proteção de Dados.